La Revue stratégique de Cyberdéfense, un document de référence crucial !

Parue le 8 février 2018 (mais présentée officiellement le 12), la Revue stratégique de Cyberdéfense (RSC), avec ses 167 pages, revêt un intérêt tout particulier en ce qu’elle concrétise l’une des préoccupations essentielles traitées dans la Loi de Programmation Militaire (LPM) 2019-2025 : la cybermenace évolue à un rythme de plus en plus rapide, favorisé par le paradigme d’une société de plus en plus connectée, avec de nombreuses interfaces entre le civil et le militaire. Le « rançongiciel » Wannacry, qui a contaminé au printemps plus de 200.000 ordinateurs dans le monde, entraînant des pannes majeures dans de grandes entreprises et administrations dans de nombreux pays, ou le virus NotPetya, qui a paralysé des entreprises ayant des intérêts en Ukraine, sont un avant-goût du genre d’attaques auxquelles il faut se préparer.
 

 
Ce « livre blanc » de la cyberdéfense – pour lequel près de 200 personnes et institutions ont été consultées au cours des six derniers mois – a été réalisé en grande partie par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui est l’un des services du SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale). Le chef d’état-major du commandement cyber de l’armée française (« ComCyber »), le capitaine de vaisseau Bertrand le Sellier de Chezelles, assure que « les gens que nous avons en face sont de plus en plus malins. Ils s’adaptent à nos contre-mesures, aux systèmes que nous mettons en œuvre. Nous avons de vraies difficultés à contrer leurs actions ».
 
La LPM 2019-2025 prévoit une augmentation budgétaire consacrée à la cyberdéfense à hauteur de 1,6 milliard d’euros par an, hors masse salariale, un accroissement du personnel porté à environ 1.000 personnes sur la période 2019-2025, ainsi qu’un renforcement des capacités du Centre d’analyse de lutte informatique défensive (CALID) des centres opérationnels de sécurité des armées (SOC).
 
Organisé en trois parties, la RSC dresse un panorama de la cybermenace, formule des propositions d’amélioration de la cyberdéfense de la Nation et ouvre des perspectives visant à améliorer la cybersécurité de la société française. La revue stratégique de cyberdéfense marque le début d’une stratégie fondée sur le durcissement de la protection des systèmes informatiques de l’Etat et des organismes d’importance vitale ainsi que le renforcement de la sécurité numérique pour les citoyens, les institutions et l’ensemble des acteurs qui participent du dynamisme économique, industriel, social et culturel de notre pays.
 
Ce document traite de la coopération entre l’Etat et les acteurs privés, au premier rang desquels les opérateurs de communications électroniques, doit être renforcée. La France doit aussi développer sa doctrine relative au cyberespace et entretenir des relations diplomatiques spécifiques pour traiter adéquatement cette préoccupation : suivant les interlocuteurs, les discussions peuvent être soit du type coopératif (pour permettre une entraide en cas d’attaque régionale ou mondiale), soit du type assertif (pour contenir la menace).
 
Plus en amont, la cyberdéfense est une préoccupation qui doit être enseignée, promue dès le plus jeune âge de tous les citoyens, et ce jusqu’au niveau de l’enseignement supérieur.
 
Il s’avère nécessaire que la France encourage et accompagne le développement industriel dans le secteur de la cyberdéfense pour multiplier les offres industrielles nationales, notamment par la facilitation du lancement de start-up. Cela doit aller de pair avec des mesures concrètes à prendre pour développer les capacités des forces de sécurité et du système judiciaire pour qu’ils soient aptes à répondre aussi rapidement qu’efficacement à l’explosion du nombre de cyberdélits d’origine nationale ou étrangère.
 
Le document expose une série de recommandations concrètes avec un calendrier de mise en œuvre. En voici quelques-unes.
 
Pour consolider l’organisation de la cyberdéfense française, il s’agit de mettre en place quatre chaînes opérationnelles : protection, action militaire, renseignement et investigation judiciaire. Il faut également mettre en place des comités cyber chargé du suivi et du pilotage des mesures à identifier, ensuite prises, pour lutter contre la cybermenace, le tout dans la perspective d’une doctrine officielle de réponse globale.
Une sécurisation renforcée des systèmes d’information de l’Etat implique que les projets informatiques les plus sensibles de l’Etat soient avalisés puis supervisés dès leur phase de lancement, surtout s’ils sont externalisés.
 
La protection des opérateurs d’importance vitale passe par des exigences accrues en matière de règles de sécurité, tant pour les communications elles-mêmes que pour l’approvisionnement en énergie.
 
Par ailleurs, la protection des activités essentielles passera par des efforts importants pour obtenir une harmonisation des règles de sécurité au niveau de l’Union européenne. Les opérateurs de communications électroniques et les hébergeurs seront mis à contribution.
 
Le document détaille encore des recommandations pour la protection des collectivités territoriales, la lutte contre la cybercriminalité, la promotion de normes de comportement responsable, l’encadrement de l’activité des acteurs privés dans le cyberespace, la définition d’une doctrine d’action face à une attaque cyber, la structuration d’une politique industrielle en matière numérique, les communications sécurisées, le cloud (bien sûr !), l’amélioration du cadre actuel de certification, l’intégration des règles de cybersécurité à l’école dès l’enseignement élémentaire, etc.
 
Cette Revue stratégique de Cyberdéfense – dans sa version expurgée des considérations classifiées pour le public – devient un vade mecum pour tout citoyen, civil ou militaire, qui utilise une connexion internet. Elle affirme le rôle de l’État comme acteur et garant de la sécurité numérique de l’ensemble des composantes de la société française.